Què és la pesca o phishing i què necessites saber per protegir-te contra els intents de frau

Què és phishing i com protegir-te. Seguridad ON. Incibe_OSI

En el nostre dia a dia, cada vegada més fem servir Internet com a mitjà per estar informats, fer compres en línia, establir relacions socials, realitzar tràmits bancaris, etc. Cada vegada resulta més difícil imaginar situacions com, per exemple, que una persona no tingui un telèfon mòbil amb WhatsApp per xatejar, que no s'hagi creat un perfil en alguna xarxa social o que no faci servir el cercador Google per trobar informació del seu interès.

La tecnologia evoluciona per fer-nos la vida més fàcil, però el seu ús ens exposa a alguns riscos que has de conèixer per evitar problemes. La pesca o phishing, és a dir, la suplantació de serveis d'Internet per part dels ciberdelinqüents, és un d'aquests riscos. Lamentablement hi ha persones, bandes i màfies en general que intenten enganyar-te mentre navegues per Internet amb els teus dispositius per dur a terme diferents accions malicioses, com la que t'expliquem en aquest article.

Què és el phishing i quin és el seu objectiu?

El phishing és un intent de suplantació d'identitat: els ciberdelinqüents es fan passar per una empresa, una institució o un servei conegut i amb bona reputació per enganyar-te i aconseguir robar-te les teves dades privades, credencials d'accés o dades bancàries. Aquesta pràctica fraudulenta es basa en l'enginyeria social i està molt estesa. En ocasions el phishing també es fa servir per infectar els dispositius amb algun tipus de malware (programa maliciós).

Com pot arribar fins a nosaltres un cas de phishing?

La majoria dels casos de phishing es distribueixen a través del correu electrònic, ja que els ciberdelinqüents tenen un gran nombre d'adreces de correu electrònic que han recopilat de formes molt diverses. Per tant, els resulta relativament senzill fer servir aquest mitjà per difondre els seus atacs de phishing. No obstant això, també hi ha altres mitjans de propagació, com ara:

  • Les xarxes socials, a través de la creació de perfils i pàgines falses.
  • Enviament de missatges SMS/MMS a números de telèfon mòbil. Aquesta pràctica es coneix com smishing.
  • Trucades telefòniques, tant a telèfons mòbils com fixos.

Quines són les empreses, les institucions o els serveis més fets servir en el phishing?

Molts són els serveis que s'han vist afectats pel phishing, des d'institucions públiques com l'Agència Tributària i el Servei de Correus i Telègrafs, passant per Forces i Cossos de Seguretat de l'Estat com la Policia o la Guàrdia Civil, fins a empreses privades com Dropbox, Microsoft, Apple, Iberia... i sens dubte entitats bancàries com nosaltres. En més d'una ocasió hem detectat que la nostra marca ha estat utilitzada per ciberdelinqüents per intentar robar les claus d'accés al servei de banca en línia, així com altres dades bancàries (número de targeta de crèdit, CVV, targeta de coordenades, PIN, etc.) de clients.

Ser víctima de qualsevol tipus de phishing et pot ocasionar problemes greus, principalment de privacitat, però caure en la trampa d'un phishing bancari pot ser encara més dolorós, ja que et podria arribar a suposar una pèrdua econòmica important.

Tot l'anterior queda clar, però com aconsegueixen robar les teves dades?

El procés es resumeix en aquests senzills passos:

1. El ciberdelinqüent selecciona la marca que suplantarà.
2. A continuació, després de determinar quina informació vol obtenir de l'usuari, selecciona el mitjà a través del qual difondrà el seu missatge fals.
3. El missatge redactat sol ser alarmista i provoca en l'usuari una reacció, normalment fer clic en un enllaç que es facilita o descarregar i executar un fitxer adjunt.
4. Després, redirigeix l'usuari víctima a un lloc web fals, que és pràcticament igual o molt semblant al lloc legítim del servei suplantat.
5. L'usuari, pensant que es troba al lloc oficial, acabarà omplint els diferents formularis que se li facilitin al web maliciós.
6. Finalment, les dades capturades seran emmagatzemades en algun servidor remot controlat pels ciberdelinqüents i utilitzades posteriorment per dur a terme accions fraudulentes: suplantar la identitat d'algú, cometre altres delictes en nom seu, segrestar comptes d'usuari, robatori de diners, enviament de correu brossa, etc.

Com identificar un cas de phishing?

Generalment els correus de phishing tenen algunes característiques comunes. Aquí t'expliquem quines són les pistes que t'haurien de fer sospitar:

  • No coneixes el remitent i/o el domini no coincideix amb l'empresa o el servei que diu ser. Per exemple, si reps un correu en nom del Santander, i el domini del correu electrònic no inclou el nom del banc, és sospitós. També ho és si el correu que t'arriba està fent servir un servei de correu gratuït com Gmail, Outlook, Yahoo!, etc.
  • L'assumpte és molt vistós i/o sol·licita dur a terme alguna acció de manera urgent. Alguns exemples que et poden ajudar: "Té un missatge nou de seguretat", "Detectats moviments sospitosos", "Eliminació de comptes inactius", "Ha rebut una notificació", "Tens un paquet esperant", etc.
  • Si la redacció del missatge no és correcta: frases mal construïdes o sense sentit, paraules amb símbols o caràcters estranys, faltes d'ortografia, etc. Tot això són evidències que alguna cosa no va bé. Un servei amb bona reputació no et sol enviar un correu amb aquests símptomes. S'assegurarà que tant l'estructura i el disseny del correu com el seu contingut siguin correctes, ja que la imatge que es transmet als usuaris és un aspecte molt important per a qualsevol servei valorat. Però compte, que també els ciberdelinqüents van millorant les seves pràctiques, de manera que si et trobes un missatge sospitós amb una perfecta redacció, assegura't d'haver verificat la resta de pistes abans de donar-lo per bo.
  • El missatge està poc o gens personalitzat. Comunicacions anònimes del tipus "Estimat client", "Notificació a usuari" o "Estimat amic" són indicis que t'han de posar alerta. Si un delinqüent vol estafar centenars de milers de persones, és molt complicat que pugui saber el nom de totes elles. Per això fan servir fórmules genèriques com les esmentades.
  • T'obliguen a prendre una decisió en unes quantes hores, amb amenaces que en cas contrari tindràs algun problema: bloqueig de compte, problemes de seguretat, una multa o sanció, etc. Frases com "Si el registre no és realitzat d'aquí a 48 hores el seu compte serà suspès temporalment fins que el seu registre sigui completat", "Hem detectat que no ha finalitzat correctament la seva sessió, si us plau, faci clic aquí per fer-ho", "Per millores en les nostres polítiques de seguretat, si us plau, faci clic aquí per canviar les seves claus", "Ha rebut una notificació però no es trobava a casa, descarregui el codi adjunt per poder anar a recollir el paquet" són pistes que et poden ajudar a identificar possibles fraus.
  • El text de l'enllaç facilitat al correu no coincideix amb l'adreça URL que indica. La intenció dels delinqüents és que facis clic en un enllaç per portar-te a un lloc web fraudulent en lloc d'a la pàgina legítima. Per tant, és important comprovar que l'enllaç és fiable. Per fer-ho, pots situar el punter del ratolí a sobre de l'enllaç i observar l'adreça que es mostra a la part inferior esquerra del navegador o del teu client de correu. Si el que veus és sospitós, no hi facis clic! Com a norma general, a més, un banc mai no t'enviarà un correu electrònic amb un enllaç a un web on et sol·licita dades personals, dels teus comptes o targetes.
  • Un document adjunt té més d'una extensió o ve en un .zip o .exe. Si a les pistes anteriors hi sumem que el missatge que reps et convida a descarregar un fitxer que, curiosament, té més d'una extensió, alguna cosa semblant a "nomdelfitxer.doc.zip" o que és un fitxer comprimit (.zip) o un executable (.exe), no se t'ocorri descarregar-lo o és més que probable que els teus dispositius acabin infectats. En qualsevol cas, si confies en la font i optes per la descàrrega del fitxer, analitza'l sempre amb un antivirus abans d'obrir-lo i executar-lo.

Si ja és massa tard i has caigut en la trampa, què has de fer?

Pot passar. No series ni el primer ni l'últim: en aquesta ocasió no t'has adonat que estaves davant d'un intent de frau i, per tant, has fet el que et demanava un determinat correu o missatge que t'havia arribat a través de correu electrònic, SMS o les xarxes socials. Si estàs en aquesta situació el més important és prendre'n consciència, actuar amb serenitat i sentit comú, analitzant el que acabes de fer i actuant en conseqüència:

Si has facilitat dades bancàries (número de targeta, PIN, CVV, targeta de coordenades, etc.) el primer que has de fer és posar-te en contacte amb el teu banc i explicar el que ha passat perquè prenguin les mesures reactives que corresponguin i mitiguin al màxim les possibles conseqüències del phishing. Si ets client del Santander, contacta com més aviat millor amb Superlínia trucant al 915 123 123. De la mateixa manera has d'actuar si, en lloc de dades bancàries, el que t'han sol·licitat és un altre tipus d'informació privada: contacta amb el servei que correspongui i notifica la situació perquè en cas de problemes, puguis demostrar que va ser per aquesta raó. Com a mesura complementària, has de monitoritzar amb certa periodicitat el que Internet sap de tu, per veure si els delinqüents estan fent ús d'aquestes dades sense el teu consentiment. I en el cas dels comptes bancaris mai no sobra consultar els teus moviments amb freqüència. Així podràs detectar a temps qualsevol moviment sospitós.

D'altra banda, si el problema és que s'ha infectat el teu dispositiu, hauràs de procedir a la seva desinfecció. Si tens problemes per fer-ho, pots entrar al web de l'OSI, al qual trobaràs molt ben explicats els passos que has de seguir. A més, et poden ajudar en aquesta tasca a través del seu telèfon d'atenció: 901 11 11 21.

Finalment, et recomanem denunciar els fets davant de les Forces i Cossos de Seguretat de l'Estat (FCSE), perquè amb totes les proves del delicte prenguin les mesures que corresponguin per caçar els ciberdelinqüents.

Si t'has quedat amb ganes de saber-ne més, descobreix al web de l'OSI què és l'enginyeria social, com identificar un web fraudulent, com desinfectar un equip, etc.

Més consells de Seguretat en Línia

Segell d'Excel·lència Europea EFQM 500
Pàgina oficial de Santander Advance a Linkedin
Canal oficial de Banco Santander Advance a Twitter
Compte oficial de Banco Santander Espanya a Google+
Pàgina oficial de Banco Santander Espanya a Facebook
Canal oficial de Banco Santander a YouTube